技能 sharp-edges

📦

sharp-edges

Name: sharp-edges
Author: sickn33

安全

識別危險 API 與高風險設定

程式碼審查經常忽略容易導致錯誤與安全漏洞的易錯 API ��危險設定。此技能可協助您在這些問題造成生產環境事故之前，率先識別出這些潛在風險。

支援: Claude Codex Code(CC)

📊 70 充足

下載技能 ZIP

在 Claude 中上傳

前往設定 → 功能 → 技能 → 上傳技能

開啟並開始使用

測試它

正在使用「sharp-edges」。審查這段程式碼的 sharp edges：使用時區函式時若未指定時區，可能導致時間計算錯誤。

預期結果:

Sharp Edges 已識別：

1. **時區 API 風險**（中等）
- 問題：使用日期/時間函式時未明確處��時區
- 影響：時間計算錯誤、排程任務資料損毀
- 建議：始終使用明確時區，並搭配 IANA 時區識別碼（例如 'America/New_York'）
- 更安全的替代方案：使用 moment-timezone 或 date-fns-tz 等函式庫

正在使用「sharp-edges」。分析這組設定是否存在危險設定

預期結果:

發現設定 Sharp Edges：

1. **已啟用除錯模式**（高）
- 設定：生產環境設定中 DEBUG=true
- 風險：暴露敏感錯誤細節與內部系統資訊
- 建議：在生產環境中停用除錯模式

2. **預設憑證**（嚴重）
- 設定：預設 admin/password 憑證仍處於啟用狀態
- 風險：透過暴力攻擊取得未授權存取
- 建議：強制首次登入時變更密碼，並使用強密碼要求

安全審計

安全

v1 • 2/25/2026

This skill is a documentation/guide for identifying error-prone APIs and dangerous configurations. The static analyzer detected hardcoded URLs (lines 4, 70) which are legitimate source references to the original GitHub repository - not data exfiltration. The 'weak cryptographic algorithm' detections at lines 3, 22, and 39 are false positives - the scanner misidentified text patterns as cryptographic issues when there are no cryptographic algorithms present. No actual security risks identified.

已掃描檔案

分析行數

發現項

審計總數

高風險問題 (2)

SKILL.md:3 SKILL.md:22 SKILL.md:39

False Positive: Weak Cryptographic Algorithm Detection

Static analyzer flagged 'weak cryptographic algorithm' at lines 3, 22, and 39. This is a false positive - the skill contains no cryptographic code or algorithms. The scanner misidentified benign text patterns as cryptographic issues.

SKILL.md:4 SKILL.md:70

Hardcoded URLs in Documentation

URLs to the original source repository are hardcoded in the skill documentation. These are legitimate source references, not security concerns.

審計者: claude

品質評分

架構

100

可維護性

內容

社群

安全

規範符合性

你能建構什麼

安全稽核協助

在程式碼審查時使用，以識別可能導致安全漏洞的危險 API 使用方式與高風險設定。

API 設計審查

在實作之前，評估提議的 API 設計是否存在已知陷阱與易錯模式。

設定安全性檢查

審查設定檔與設定值，找出可能讓系統暴露於風險的危險預設值。

試試這些提示

基本 API 審查

使用 sharp-edges 技能識別這段程式碼片段中的易錯 API 或危險設定。特別關注意外失敗模式不明顯或參數需求複雜的 API。

安全設定稽核

套用 sharp-edges ��能分析這些設定。識別任何不安全的預設值或可能繞過安全防護的設定。

API 設計評估

使用 sharp-edges 方法論，評估這個提議的 API 設計。開發者應注意哪些 sharp edges？有哪些更安全的替代方案？

全面風險分析

對這個程式碼庫執行完整的 sharp-edges 分析。識別易錯模式、危險設定，並為每個發現提供風險評估與建議。

最佳實務

始終清楚記錄已識別的 sharp edges 並��明其風險
提供正確與錯誤使用模式的具体範例
當有可用的更安全替代方案時，推薦具體方案並提供程式碼範例
隨著新漏洞��發現，持續更新 sharp edges 文件

避免

忽略 API 文件中關於已知失敗模式的警告
未審查安全影響即直接使用預設設定
假設所有 API 在不同情境下行為一致
跳過需要清理資源的 API 資源管理檢查

常見問題

什麼是程式碼��的 sharp edge？

Sharp edge 是指具有非明顯失敗模式、複雜需求，或若未謹慎使用可能導致錯誤與安全問題的 API 或設定。例如：具有時序敏感性的 API、不明確的錯誤處理，或危險的預設設定。

此技能會自動掃描我的程式碼嗎？

不會。此技能提供識別 sharp edges 的方法論與知識。它會引導您完成審查流程，但不會對您的程式碼執行自動化靜態或動態分析。

此技能能偵測所有安全漏洞嗎？

不會。此技能協助識別常見的易錯 API 與危險設定，但無法偵測所有可能的漏洞。它應作為全面安全審查流程的一部分使用。

此技能協助識別哪些類型的 API？

此技能協助識別參數需求複雜、非明顯失敗模式、時序或並行問題、不明確錯誤處理，以及需要謹慎資源管理的 API。

此技能與靜態分析工具有何不同？

靜態分析工具會自動掃描程式碼中的模式。此技能則提供人工審查的指引與方法論，協助您理解為何某些模式存在問題，以及如何解決這些問題。

我可以在任何程式語言中使用此技能嗎？

可以。Sharp-edges 方法論與程式語言無關。此技能提供跨不同程式語言與框架識別問題 API 與設定的一般原則。

開發者詳情

作者

sickn33

授權

MIT

儲存庫

https://github.com/sickn33/antigravity-awesome-skills/tree/main/web-app/public/skills/sharp-edges

引用

main

檔案結構

📄 SKILL.md